Эксперты Kaspersky рассказали, как белорусским пользователям оформляют скрытые подписки на платные услуги. Во всем виноваты троянцы, в результате действий которых со счета пользователя без его ведома снимается плата за различные легитимные услуги, а злоумышленники получают за это определенный процент. Впрочем, бывает и так, что подписку оформляют на «услуги» самих атакующих.
Среди троянцев, получивших распространение в Беларуси, эксперты отмечают, в частности, MobOk, GriftHorse.l, GriftHorse.ae и Jocker. Первый, попав на устройство, запрашивает доступ к SMS или push-уведомлениям. Это позволяет ему перехватывать коды подтверждения для оформления подписки. Далее в невидимом окне открывается страница подписки и в нее подставляется код подтверждения. MobOk умеет обходить «капчу»: для распознавания кода на картинке троянец отправляет ее на специальный сервис.
Троянцы семейства Jocker (Joker) умеют перехватывать коды из SMS и обходить антифрод-решения. Обычно эти зловреды распространяются через Google Play: злоумышленники создают копии известных приложений, добавляя в них вредоносный код, и загружают их в магазин под другим именем. Попав на устройство, зараженное приложение запрашивает доступ к SMS и уведомлениям. Доступ к уведомлениям позволяет зловреду перехватывать коды подтверждения подписки. При запуске зловред скачивает и запускает новый файл, который наследует разрешения от зараженного приложения.
Троянец GriftHorse.l примечателен тем, что оформляет подписку на «услуги» самих злоумышленников — такое случается, если потенциальная жертва пропустит или невнимательно прочитает пользовательское соглашение. Зловред распространяется через Google Play, например, под видом приложения, якобы предлагающего составить индивидуальный план похудения «всего за 29 рублей». Однако, если прокрутить страницу оплаты, можно увидеть, что доступ к «сервису» предоставляется по подписке с использованием автоплатежа, а не разовой оплаты. В комментариях к приложению пользователи жалуются, что отменить оформленную подписку невозможно, а некоторые отмечают, что не получили услугу после оплаты.
Еще один троянец, GriftHorse.ae, хотя и относится к тому же семейству, ведет себя иначе. Зловред выдает себя за приложение для восстановления удаленных файлов, редактирования фотографий и видео, моргания вспышкой при входящем звонке, навигации, сканирования документов. Однако единственное, что умеют эти программы, — запрашивать номер телефона якобы для входа и оформлять подписку при нажатии кнопки «Войти». Подписка оплачивается с мобильного счета, поэтому для ее оформления достаточно номера телефона. Распространяется GriftHorse.ae также через официальный магазин приложений. Беларусь занимает пятое место в мире по количеству пострадавших от этого троянца (3,22% от общего числа пользователей, столкнувшихся с троянцем GriftHorse.ae в мире).